OMNI – una piattaforma finanziaria NFT che presta criptovaluta in cambio di NFT in staking – è stata vittima di un exploit di rientro che ha portato alla perdita di quasi 1.300 ETH, per un valore di 1,4 milioni di dollari all'epoca.
Sembra un hack relativo al rientro. @ParallelFi @OMNI_xyz I fondi rubati sono stati appena mischiati tramite @TornadoCash https://t.co/Nyunlkk3rr pic.twitter.com/XxxVyX80Fq
— PeckShield Inc. (@peckshield) 10 luglio 2022
Inesigibili a causa di codice errato
Il progetto in questione ha perso i fondi a seguito di uno staking in malafede di NFT dalla collezione Doodle. Per eseguire l'attacco, l'autore del reato ha prima depositato Doodles come garanzia per un prestito di ETH avvolto (wETH). Una volta garantito il prestito, lo sfruttatore è stato in grado di ritirare tutti i Doodle tranne uno, provocando una funzione di callback che annullava il debito acquisito acquistando wETH.
Una volta completati questi due passaggi, il Doodle rimasto sulla piattaforma non era più sufficiente a coprire il debito contratto. La posizione è stata poi liquidata dal sistema, restituendo anche l'ultimo dei Doodles all'attaccante.
Nessuna possibilità per un appello White Hat
Sulla scia dei recenti attacchi alla DeFi, gli sviluppatori sfruttati di recente hanno spesso lanciato appelli aperti a coloro che stanno dietro l'hack, offrendo di considerarli un evento da cappello bianco in cambio della maggior parte o di tutti i fondi rubati.
In alcuni casi, questo ha funzionato bene: lo sfruttatore di Optimism, ad esempio, ha restituito la maggior parte dei fondi dopo aver chiesto consiglio a Vitalik Buterin. Gli sviluppatori di Harmony hanno recentemente provato lo stesso approccio, ma sono stati sommariamente ignorati quando è iniziato il riciclaggio dei token rubati.
In questo caso, l'appello non ha mai avuto possibilità di essere presentato, poiché l'attaccante ha immediatamente inviato il suo nuovo appropriazione wETH a Tornado, un servizio di mixaggio che offusca l'origine dei fondi. A causa di questa capacità, viene spesso utilizzato dai criminali informatici che tentano di riciclare guadagni illeciti.
Protocollo OMNI sospeso
Il protocollo OMNI – ancora in versione beta – è stato chiuso dagli sviluppatori incaricati, in attesa di audit e patch di sicurezza. Inoltre, gli sviluppatori di OMNI hanno confermato che nessun fondo dei clienti è stato interessato dall'exploit, indicando che i wETH sottratti indebitamente erano "fondi di test interni".
“OMNI è ancora in fase di test (beta). Nessun denaro dei clienti è stato perso, solo i fondi per i test interni sono stati interessati! Abbiamo sospeso il protocollo OMNI fino al completamento delle indagini e abbiamo fatto rivedere tutto di nuovo da società di sicurezza e revisione esterne".
Sfortunatamente per gli sviluppatori e i fan del progetto, sembra che OMNI dovrà rimanere in beta per un po' più a lungo del previsto.